Tujuh Langkah Ketahanan Siber Menurut Survei McKinsey
Ilustrasi
Cyberthreat.id - Tim Tanggap Insiden Keamanan Indonesia untuk Infrastruktur Internet melaporkan 205 juta serangan cyber pada tahun 2017. Tahun berikutnya, Badan Siber dan Sandi Negara (BSSN) mencatat 232 juta serangan siber menyasar Indonesia.
Jika dilihat dari jumlah serangan, Indonesia adalah sasaran empuk serangan siber. Dan akibat serangan cyber bisa mahal serta cakupannya meluas. Sampai saat ini, perusahaan finansial dan pemerintah adalah target utama.
Serangan ransomware NotPetya dan WannaCry tahun 2017 telah mengubah paradigma perusahaan di berbagai industri, termasuk institusi di Indonesia.
Survei global tahun lalu menyatakan 75 persen para eksekutif mengatakan telah menganggap cybersecurity sebagai prioritas utama, namun hanya 16 persen mengatakan perusahaan siap menghadapi risiko cyber.
Penelitian McKinsey and Company tahun 2018 terhadap 45 perusahaan Fortune 500 tidak menemukan korelasi langsung antara berapa banyak biaya yang dihabiskan untuk cybersecurity. Yang pasti, Indonesia harus bersiap menghadapi segala potensi dan risiko serangan cyber.
Berikut ini tujuh praktik penting untuk mencapai ketahanan digital menurut McKinsey:
1. Cybersecurity wajib dalam proses manajemen dan tata kelola.
Cyber risk adalah masalah non-keuangan yang kompleks dan bisa mengikis bottom line serta brand/merek perusahaan.
Perusahaan perlu mengintegrasikan cybersecurity ke dalam proses bisnis sehari-hari dan menjadikan cybersecurity sebagai pertimbangan dalam keputusan besar. Misalnya, unit bisnis harus memastikan bahwa hanya orang penting yang dapat mengakses informasi pelanggan.
2. Prioritaskan aset informasi dan risikonya.
Cara ini diklaim bisa menghemat pengeluaran untuk cybersecurity hingga 20 persen. Hal ini termasuk mempersiapkan dengan baik keamanan aset informasi, menghitung risiko cyber, hingga memperhitungkan mitigasi jika terjadi serangan. Hampir 50 persen perusahaan tidak melakukan ini.
3. Memperkuat cybersecurity terhadap aset vital.
Menerapkan kontrol cybersecurity yang sama untuk semua aset memerlukan usaha dan biaya ekstra. Ada beberapa kategori aset namun aset vital harus dilindungi lebih kuat daripada aset penting.
Kontrol harus dilakukan melalui opsi khusus, seperti enkripsi, untuk memasukkan otentikasi; hak akses, pencegahan kehilangan data; manajemen hak digital; deteksi intrusi; dan penambalan.
4. Libatkan semua karyawan.
Setiap karyawan memiliki peran penting dalam melindungi perusahaan seperti berbagi informasi sensitif melalui saluran aman (bukan saluran yang kurang aman seperti email).
Memahami phishing, latihan cybersecurity dan upaya lain yang membantu karyawan sadar akan risiko cyber dan bagaimana cara mengatasinya.
5. Bangun fitur keamanan ke dalam sistem IT.
Perusahaan harus membangun kontrol cybersecurity yang kuat ke dalam inti sistem IT. Software engineer internal harus memiliki alat/tools yang diperlukan untuk mengembangkan aplikasi yang rentan terhadap peretas.
Perusahaan harus mengkonfigurasi sistem IT dengan cara mengurangi paparan terhadap cyber risk. Misalnya, mencegah karyawan memasuki area jaringan komputer yang tidak perlu.
6. Gunakan "pertahanan aktif" untuk tetap di depan para penyerang.
Cepat atau lambat, setiap perusahaan akan ditargetkan oleh hacker. Perusahaan/organisasi dapat menggagalkan hacker jauh lebih lebih efektif jika mengerti bagaimana hacker bekerja.
Perusahaan besar menggunakan big data analisis untuk mengidentifikasi sinyal yang mengindikasikan serangan, seperti upaya untuk masuk ke jaringan dari lokasi yang tidak biasa. Pengetahuan tentang dunia Maya dan hacker juga terus dipertahankan seperti cara kerja bahkan identitas para hacker.
7. Berlatih dan belajar menghadapi insiden serangan siber.
Cyber attack akan terjadi sehingga perusahaan harus membuat rencana untuk merespons. Begitu rencana respons-insiden perusahaan sudah ada, perusahaan harus secara rutin mengujinya dalam serangan cyber yang disimulasikan, atau war game. Penelitian McKinsey membuktikan bahwa simulasi cyber attack meningkatkan ketahanan digital.
